Websecurity - Веб безпека

В даній добірці уразливості в веб додатках:

• Apache CXF does not validate UsernameToken policies correctly (деталі)
• SQL Injection Vulnerability in Batavi 1.1.2 (деталі)
• eFronts Community++ v3.6.10 - Cross Site Vulnerability (деталі)
• Cyberoam Central Console v2.00.2 - File Include Vulnerability (деталі)
• Multiple vulnerabilities in ZENphoto (деталі)
• Multiple Vulnerabilities in Cisco Unity Connection (деталі)
• sqlinjection bug in nova cms (деталі)
• eFront Community++ v3.6.10 - SQL Injection Vulnerability (деталі)
• ME Monitoring Manager v9.x; v10.x - Multiple Vulnerabilities (деталі)
• Multiple vulnerabilities in 11in1 (деталі)

В документі Verifed by Visa and MasterCard SecureCode: or, How Not to Design Authentication розповідається про протокол 3-D Secure (3DS) і такі реалізації даного протоколу як Verifed by Visa та MasterCard SecureCode. Та про ризики безпеки, що існують при їх використанні власниками пластикових карток.

В своїй статті Справжня безпека сайтів із секюріті логотипами я вже писав при діряві сайти з логотипами VbV та MCSC, про підміну даними логотипами необхідності відповідати стандарту PCI DSS (та проводити відповідні аудити) та ігнорування проблем безпеки на цих сайтах. В даному ж документі, автори Steven J. Murdoch і Ross Anderson зосередилися на недоліках протоколу 3DS та шляхах його покращення.

В статті розглянуті наступні проблеми 3DS, зокрема таких систем як Verifed by Visa та MasterCard SecureCode:

1. Статистика шахрайства з платіжними картами.
2. Слабкості безпеки.
3. Шляхи покращення безпеки.

Системи, що базуються на протоколі 3DS мають багато недоліків (автори наводять сім основних проблем), що впливають на безпеку транзакцій, зокрема card-not-present (таких як транзакції через Інтернет). Тому для кращої продидії шахрайству з платіжними картами потрібно покращувати дані системи.

Як і в попередні роки, надам свої прогнози розвитку веб безпеки в новому році. Але спочатку зроблю огляд тих прогнозів, що я давав на 2011 рік.

На початку минулого року я зробив свої прогнози стосовно розвитку галузі веб безпеки в минулому році. І зараз я оціню наскільки справдилися мої попередні прогнози.

1. Уразливості XSS в минулому році, як і раніше, все більше поширювалися (вони були найпоширенішими уразливостями веб додатків).
2. Активно знаходилися та використовувалися уразливості в браузерах (а також в плагінах, таких як Flash, Shockwave та Java) для атак на користувачів.
3. Збільшилася кількість атак на державні сайти України - зростання взломів gov.ua-сайтів в 2,1 рази.
4. Розробники браузерів почали більш активно впроваджувати секюріті механізми в свої продукти.
5. Значно зросла кількість заражених вірусами веб сторінок в Інтернеті. Зокрема в Уанеті в 2010 я виявив 264 інфікованих сайтів, а в 2011 вже 233 сайти (зменшення динаміки у 1,1 рази, але це я менше шукав інфіковані сайти, а насправді їх кількість зросла).
6. Збільшилися атаки на соціальні мережі, в тому числі на Facebook та WordPress.com.
7. Зросла хакерська активність (але в Уанеті вона дещо впала порівняно з 2010 роком, зокрема в Уанеті спад на 8%, але ще не всі дані мною оброблені).

Як видно всі мої попередні прогнози переважно збулися .

А тепер мій прогноз розвитку галузі веб безпеки в 2012 році.

1. Уразливості XSS будуть поширюватися й надалі.
2. Збільшиться кількість атак на державні сайти України.
3. Все більше будуть використовуватися уразливості в браузерах та плагінах для атак на користувачів.
4. Збільшиться кількість DDoS-атак в Уанеті, в тому числі на державні сайти.
5. Зростання кількості заражених вірусами веб сторінок буде більш активним.
6. Атаки на соціальні мережі та їхніх користувачів продовжать збільшуватися.
7. Продовжиться подальше зростання хакерської активності.

Виявлена помилка форматного рядка в Perl модулі DBD::Pg.

Уразливі версії: DBD::Pg 2.19.

Помилка форматного рядка при розборі відповіді сервера.

• libdbd-pg-perl security update (деталі)

В даній добірці уразливості в веб додатках:

• Denial of Service in libxslt, as used in Google Chrome before 17.0.963.46 (деталі)
• Multiple vulnerabilities in OSclass (деталі)
• Mibew messenger multiple XSS (деталі)
• Multiple vulnerabilities in postfixadmin (деталі)
• Multiple vulnerabilities in OSClass (деталі)
• Out-of-bounds read in libxslt (деталі)
• Security advisory for Bugzilla 4.2rc2, 4.0.4, 3.6.8 and 3.4.14 (деталі)
• Multiple vulnerabilities in OpenEMR (деталі)
• XSS phpLDAPadmin: 1.2.0.5 (Debian package) and 1.2.2 (sourceforge) (деталі)
• SimpleGroupware 0.742 Cross-Site-Scripting vulnerability (деталі)

Після попереднього дослідження інфікованих сайтів, приведу нову інформацію про заражені сайти. З числа українських сайтів.

• http://chasy.com.ua - інфекція була виявлена 16.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://turizm-ua.in - інфекція була виявлена 01.04.2012. Зараз сайт входить до переліку підозрілих.
• http://shops-in.net - інфекція була виявлена 12.04.2012. Зараз сайт не входить до переліку підозрілих.
• http://chatel.kharkov.com - інфекція була виявлена 16.04.2012. Зараз сайт входить до переліку підозрілих.
• http://kvakva.org.ua - інфекція була виявлена 20.02.2012. Зараз сайт не входить до переліку підозрілих.

Виявлена помилка форматного рядка в Perl модулі YAML::LibYAML.

Уразливі версії: YAML::LibYAML 0.33.

Декілька уразливостей форматного рядка (Format String Attack).

• libyaml-libyaml-perl security update (деталі)

В даній добірці уразливості в веб додатках:

• RSA SecurID Software Token Converter buffer overflow vulnerability (деталі)
• Kloxo LxCenter Server CP v6.1.10 - Multiple Web Vulnerabilities (деталі)
• CubeCart 3.0.20 (3.0.x) and lower | Open URL Redirection Vulnerability (деталі)
• File Inclusion vulnerability in GLPI (деталі)
• Multiple Vulnerabilities in ELBA5 (деталі)
• Vulnerability in libxml2 (деталі)
• SolarWinds Storage Manager Server SQL Injection Authentication Bypass (деталі)
• Bart’s CMS - SQL Injection Vulnerability (деталі)
• SQL injection in Bigware shop software (деталі)
• CSRF (Cross-Site Request Forgery) in DClassifieds (деталі)

Продовжуючи традицію, пропоную вашій увазі цікаві секюріті статті. Щоб ви поповнювали свої знання з веб безпеки.

Добірка цікавого чтива на тему безпеки, в тому числі web security (статті з Вікіпедії):

• Virtual machine escape
• DNS hijacking
• Email injection
• Frame injection
• Inter-protocol communication

За повідомленням www.xakep.ru, drive-by завантаження на популярних сайтах: статистика.

Компанія Barracuda Labs протягом лютого провела автоматичне сканування 25000 самих популярних сайтів Інтернету на предмет drive-by експлоітів.

Результати сканування можна назвати неоднозначними. З одного боку, протягом місяця шкідливого ПЗ не було ні на одному з 1000 самих популярних сайтів. З іншого боку, ситуацію ніяк не назвеш райдужною: за місяць експлоіти типу drive-by виявилися на 58 доменах. Фактично, кожний календарний день хоча б один сайт був заражений.

За повідомленням www.itsec.ru, експерти говорять про небезпеку “соціо-ботів”.

Згідно результатам останнього дослідження, проведеного фахівцями з канадського Університету Британської Колумбії у Ванкуверу, так звані “соціальні боти” - програми, створені для імітації поводження людей у соціальних мережах, здатні ефективно викрадати персональні дані користувачів. Так, в одній лише Facebook канадські дослідники за допомогою “соціо-ботів” одержали майже 250 гігабайт інформації про користувачів цієї мережі.

Двомісячне дослідження проводилося з метою визначити, наскільки уразливі соціальні мережі та їхні користувачі перед обличчям масштабних операцій, пов’язаних з викраденням особистих даних. Як можна зрозуміти з отриманих 250 гігабайт даних, дуже уразливі.

За повідомленням www.xakep.ru, двоскладні паролі, посилені за допомогою CAPTCHA.

Приблизно рік тому група вчених - Костянтин Кладко, Сергій Флах і Тетяна Лаптєва - з Інституту фізики складних систем суспільства Макса Планка в Дрездені опублікували наукову працю, в якій запропонували інноваційне рішення “проблеми простих паролів”. Ідея полягає в наступному. Замість того, щоб змушувати користувача запам’ятовувати великий набір символів, довгий пароль розбивається на дві частини.

При цьому від користувача потрібно запам’ятати тільки першу частину, а друга частина генерується автоматично і кодується у виді CAPTCHA, причому досить хитрої - заснованої на фізичних даних від двовимірної динамічної системи, близької до фазового переходу.